セキュリティで保護された操作 (Integration Services)
Integration Services パッケージのライフ サイクルの各段階で、実稼働環境に配置されたパッケージを管理する際に、以下の手段を講じてセキュリティを強化できます。
信頼できるソースのパッケージのみを開いて実行します。
パッケージの操作においては、パッケージを開いて実行するたびに、有効な署名があるかどうかを確認します。
認証済みのユーザーのみがパッケージを開いて実行するようにします。
パッケージの操作においては、以下の目的で Integration Services、SQL Server、およびファイル システムで利用できるセキュリティ機能を使用する必要があります。
格納されているパッケージと、パッケージに関連付けられている追加ファイルへのアクセスを制御する。
Integration Services サービスへのアクセスを制御する。
信頼されているソースのパッケージを特定するためのデジタル署名の確認
パッケージは、デジタル証明書を使用して署名できます。デジタル証明書は、パッケージを作成または最後に変更した個人または組織単位を特定します。管理者は、パッケージに対して有効で信頼できる署名を要求し、パッケージを開くときに署名を確認し、署名がないパッケージについて警告を表示するかそれを拒否するように Integration Services を構成できます。
管理者は、すべてのパッケージの署名を確認するか、個々のパッケージの署名を確認するように Integration Services を構成できます。
**レジストリ値を設定してすべてのパッケージの署名を確認する。**コンピュータに読み込んで実行するすべてのパッケージの署名を確認するポリシーを適用するには、オプションの BlockedSignatureStates レジストリ値を設定します。詳細については、「レジストリ値を設定して署名ポリシーを実装する方法」を参照してください。
**dtexec ユーティリティ (dtexec.exe) から個々のパッケージを実行するときに署名を確認する。**個々のパッケージの署名を確認するには、dtexec コマンド ラインで VerifySigned オプションを指定します。詳細については、「dtexec ユーティリティ」を参照してください。
デジタル署名の詳細については、「パッケージでのデジタル署名の使用」を参照してください。
パッケージおよびパッケージによって作成または使用されるファイルへのアクセスの制御
パッケージは、SQL Server の msdb データベースまたはファイル システムに格納できます。
**SQL Server にパッケージを格納する場合。**SQL Server で使用可能なセキュリティ機能、および固定データベース レベルの Integration Services ロールによって、格納されているパッケージへのアクセスを制御できます。これらのロールの詳細については、「Integration Services のロールの使用」を参照してください。
**ファイル システムにパッケージを格納する場合。**Microsoft Windows で使用可能なセキュリティ機能、およびファイル システムで使用可能なアクセス制御リスト (ACL) によって、格納されているパッケージへのアクセスを制御できます。
パッケージを実行するとき、構成ファイル、ログ ファイル、チェックポイント ファイルなどの追加ファイルがパッケージで作成されることがあります。これらのファイルにも、機密データが含まれている場合があります。追加ファイルへのアクセスを制御する方法については、「パッケージで使用するファイルへのアクセスの制御」を参照してください。
Integration Services サービスへのアクセス制御
Management Studio で Integration Services サービスに接続できるすべてのユーザーは、以下を参照できます。
格納されているパッケージの一覧とそれらのパッケージが格納されている場所
ユーザーが開始した実行中のパッケージ (管理者は実行中のすべてのパッケージを参照可能)
Management Studio で Integration Services サービスへのアクセスを制御する方法については、「Integration Services サービスへのアクセスの制御」を参照してください。
|